Требование | Процедура тестирования/аудита | Соответствует | Не | Дата |
12.6.1 Должно выполняться обучение сотрудников при найме на работу и по крайней мере ежегодно | 12.6.1.а Убедиться, что программа повышения осведомленности сотрудников в вопросах безопасности содержит различные методы повышения осведомленности и обучения сотрудников (например, использование плакатов, рассылок, заметок, собраний, обучение с помощью сетевых технологий и т. д.) | |||
12.6.1.б Убедиться, что сотрудники посещают тренинги, связанные с повышением осведомленности в вопросах безопасности, при найме на работу и по крайней мере ежегодно | ||||
12.6.2 Сотрудники должны письменно подтверждать не реже чем один раз в год, что они ознакомлены и согласны с правилами и процедурами безопасности, принятыми в компании | 12.6.2 Убедиться, что программа повышения осведомленности сотрудников в вопросах безопасности содержит требование о наличии подтверждения (письменного или в электронной форме) сотрудниками, что они ознакомлены и согласны с правилами и процедурами безопасности | |||
12.7 Прежде чем принимать новых сотрудников на работу, необходимо их проверять для минимизации риска внутренних атак (определение термина "сотрудник" см. в 9.2 выше). Для таких сотрудников, как кассиры магазинов, которые имеют доступ только к одному номеру карты единовременно при проведении транзакции, это требование носит рекомендательный характер | 12.7 Опросить руководителя отдела кадров и убедиться, что наводятся справки (с учетом ограничений, налагаемых местным законодательством) о потенциальных сотрудниках, которые будут иметь доступ к данным держателей платежных карт или к среде платежных карт (например, проверка предыдущих мест работы, криминальной, кредитной истории, проверка рекомендаций) | |||
12.8 Если данные держателей платежных карт доступны нескольким провайдерам услуг, то должны реализовываться и выполняться правила и процедуры управления провайдерами услуг, включающие следующее: | 12.8 В случае, если проверяемая организация обменивается данными держателей платежных карт с провайдерами услуг (например, по хранению резервных копий; или по управлению безопасностью; по оказанию услуги веб-хостинга по моделированию нарушений с учетом полученных данных и пр.), путем наблюдения и просмотра правил и процедур, анализа документации, то необходимо выполнить следующее: | |||
Продолжение таблицы 13
Требование | Процедура тестирования/аудита | Соответствует | Не | Дата |
12.8.1 Составление перечня провайдеров услуг | 12.8.1 Убедиться, что составлен перечень провайдеров услуг | |||
12.8.2 Составление соглашения, подтверждающего признание провайдерами обязанностей по обеспечению безопасности данных держателей платежных карт, к которым они получают доступ | 12.8.2 Убедиться в наличии в договорах положений по признанию провайдером услуг своей ответственности за обеспечение безопасности данных держателей платежных карт | |||
12.8.3 Создание процедуры взаимодействия с провайдерами услуг, включающей необходимость выполнения проверок | 12.8.3 Убедиться, что правила и процедуры документированы, соблюдаются и включают необходимость выполнения проверок до установления взаимодействия с провайдерами услуг | |||
12.8.4 Составление программы отслеживания статуса соответствия провайдера услуг настоящему предстандарту | 12.8.4 Убедиться, что проверяемая организация использует программу отслеживания статуса соответствия провайдеров услуг настоящему предстандарту | |||
12.9 Должен быть принят план реагирования на инциденты безопасности. Должно быть обеспечено немедленное реагирование при компрометации какой-либо системы | 12.9 Ознакомиться с планом и процедурами реагирования на инциденты безопасности и выполнить следующее: | |||
12.9.1 Создание плана реагирования на инциденты безопасности при компрометации системы. Включение в этот план, по крайней мере, следующего: – роли и обязанности, а также стратегии уведомления при инциденте, включая, как минимум, извещение платежных систем; – конкретные процедуры реагирования на инциденты безопасности; – процедуры восстановления и обеспечения непрерывности бизнеса; – процедуры резервирования данных; – анализ правовых требований к отчетности при компрометациях; – способы реагирования для всех критичных системных компонентов; – ссылки на процедуры реагирования на инциденты от платежных систем или сами процедуры | 12.9.1 Удостовериться, что план реагирования на инциденты безопасности включает: – роли и обязанности, а также стратегии уведомления при инциденте, включая, по крайней мере, извещение платежных систем; – конкретные процедуры реагирования на инциденты безопасности; – процедуры восстановления и обеспечения непрерывности бизнеса; – процедуры резервирования данных; – анализ правовых требований к отчетности при компрометациях; – способы реагирования для всех критичных системных компонентов; – ссылки на процедуры реагирования на инциденты от платежных систем или сами процедуры | |||
Окончание таблицы 13
Требование | Процедура тестирования/аудита | Соответствует | Не | Дата |
12.9.2 Тестирование плана, по крайней мере, ежегодное | 12.9.2 Убедиться, что проводится тестирование плана не менее раза в год | |||
12.9.3 Назначение сотрудников, реагирующих на инциденты безопасности 7 дн в неделю 24 ч | 12.9.3 Путем наблюдения и анализа правил убедиться, что реализовано реагирование на инциденты безопасности в режиме 7 дн в неделю 24 ч в сутки, включая мониторинг любой несанкционированной деятельности, обнаружение несанкционированных беспроводных точек доступа, предупреждений IDS и/или сообщений о несанкционированных изменениях в критичных системных файлах или файлах данных | |||
12.9.4 Проведение соответствующего обучения персонала, ответственного за реагирование на инциденты безопасности | 12.9.4 Путем наблюдения и анализа правил убедиться, что выполняется периодическое обучение персонала, ответственного за реагирование на инциденты безопасности | |||
12.9.5 Выполнение анализа событий от IDS, IPS и систем контроля целостности | 12.9.5 Путем наблюдения и изучения процессов убедиться, что в плане реагирования на инциденты безопасности предусмотрен мониторинг и реагирования на предупреждения от систем безопасности, включая обнаружение несанкционированных беспроводных точек доступа | |||
12.9.6 Реализация процесса изменения и развития плана реагирования на инциденты безопасности в соответствии с приобретенным опытом и с учетом развития отрасли | 12.9.6 Путем наблюдения и анализа правил убедиться, что описан процесс изменения и развития плана реагирования на инциденты безопасности в соответствии с приобретенным опытом и с учетом развития отрасли |
Приложение Б
(обязательное)
Компенсационные меры
Б.1 Компенсационные меры подлежат рассмотрению для большинства требований настоящего предстандарта, если организация не может соответствовать какому-либо требованию настоящего предстандарта в явном виде по причине технической невозможности или бизнес-ограничений, однако может значительно снизить риск, связанный с этим требованием, путем принятия других мер.
Б.2 Компенсационные меры должны удовлетворять следующим критериям:
а) удовлетворять цели и строгости исходного требования настоящего предстандарта;
б) предоставлять приемлемый уровень защиты относительно исходного требования настоящего предстандарта, чтобы компенсационная мера могла в достаточной степени нейтрализовать риск компрометации данных платежных карт, от которого должно защищать соответствующее исходное требование. (Цель каждого требования настоящего предстандарта приведена в [9]);
в) не только соответствовать другим требованиям настоящего предстандарта, но и быть "сверх требуемого". (Буквально: только лишь соответствие другим требованиям настоящего предстандарта не является компенсационной мерой.)
При оценке того, удовлетворяет ли компенсационная мера критерию "сверх требуемого", необходимо учитывать следующее:
Примечание – Перечисления 1), 2) и 3) приведены лишь в качестве примера. Все компенсационные меры должны рассматриваться и проверяться на соответствие экспертом, который руководствуется настоящим предстандартом. Эффективность компенсационной меры зависит от конкретной среды, в которой реализуется эта мера, смежных мер безопасности и конфигурации меры. Компании должны отдавать себе отчет в том, что какая-то конкретная компенсационная мера не будет эффективной во всех средах.
1) существующие требования настоящего предстандарта не могут рассматриваться как компенсационная мера, если они уже указаны в проверяемом пункте как требование.
Например, пароли для неконсольного административного доступа должны пересылаться в зашифрованном виде с целью снижения риска перехвата незашифрованных паролей администратора. Организация не должна применять другие требования настоящего предстандарта к паролям (блокирование паролей злоумышленника, сложные пароли и т. д.), чтобы компенсировать отсутствие зашифрованных паролей, поскольку эти требования не снижают риска перехвата незашифрованных паролей. Кроме того, другие меры по защите паролей уже являются требованиями настоящего предстандарта для проверяемого пункта (пароли);
2) существующие требования настоящего предстандарта могут рассматриваться как компенсационные меры, если их соблюдение необходимо в другой области и не требуется в проверяемом пункте. Например, двухфакторная аутентификация для удаленного доступа является требованием настоящего предстандарта. Применение двухфакторной аутентификации во внутренней сети также может рассматриваться как компенсационная мера для неконсольного административного доступа, если не поддерживается передача зашифрованных паролей. Двухфакторная аутентификация может рассматриваться как приемлемая компенсационная мера, если она:
– соответствует цели исходного требования, состоящей в снижении риска перехвата незашифрованных административных паролей;
– правильно применяется в среде безопасности;
3) существующие требования настоящего предстандарта можно объединять с новыми мерами, в результате чего они становятся компенсационными мерами. Например, если компания не может привести данные платежных карт к нечитаемому виду в соответствии с требованием 3.4 (например, путем шифрования), компенсационная мера может включать в себя применение устройства или комбинации устройств, приложений и мер, которые касаются следующего:
– сегментации внутренней сети;
– фильтрации IP-адресов или MAC-адресов;
– двухфакторной аутентификации во внутренней сети;
г) быть соразмерными дополнительному риску, связанному с несоответствием требованию настоящего предстандарта.
При каждой ежегодной оценке соответствия организации настоящему предстандарту эксперт должен тщательно оценивать компенсационные меры, чтобы проверить, что каждая мера позволяет адекватно связывать риск с исходным требованием настоящего предстандарта (см. перечисления а) – г) выше). Чтобы поддерживать соответствие настоящему предстандарту, должны существовать процессы и меры, обеспечивающие эффективное действие компенсационных мер после завершения оценки.
Приложение В
(обязательное)
Лист регистрации компенсационных мер
В.1 Форма листа регистрации компенсационных мер
Приведенная в таблице В.1 форма используется для определения компенсационных мер для любого требования, в случае если компенсационные меры применяются для обеспечения соответствия организации настоящему предстандарту. Учтите, что компенсационные меры также должны быть задокументированы в Отчете о соответствии, как указано в соответствующем разделе требования настоящего предстандарта.
Примечание – Использовать компенсационные меры для достижения соответствия настоящему предстандарту могут только компании, выполнившие анализ рисков и имеющие законные технологические или документированные бизнес-ограничения.
1
Номер и описание требования: ___________________________________________________
Указать номер и описание требования
Последовательность действий | Содержание действия | Разъяснение |
1 Ограничения | Перечислить ограничения, препятствующие соответствию исходному требованию | |
2 Цель | Определить цель исходных мер; назначить цель компенсационной мере | |
3 Риск | Описать дополнительные риски, возникающие вследствие невыполнения исходного требования | |
4 Определение | Определить компенсационные меры и объяснить, как они соотносятся с целями исходных (некомпенсационных) мер и вообще с повышенным риском | |
5 Проверка компенсационных мер | Описать, как проверялись и тестировались компенсационные меры | |
6 Техническая поддержка компенсационных мер | Определить процессы и меры по технической поддержке компенсационных мер |
В.2 Пример заполнения листа регистрации компенсационных мер
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
